安全软件开发

信息安全 代码审查 威胁建模 sdl 威胁缓解
2021-08-15 16:40:56

我正在研究在 SDLC 中构建安全性的模型,到目前为止已经遇到了:

  1. BSIMM
  2. 微软 SDL
  3. 打开SAMM

是否有任何其他文件和资源可供研究?包含这些模型的原理以帮助开发团队构建安全软件的特定工具?

此外,任何可能专门针对智能手机应用程序开发的资源都会很棒。

2个回答

Microsoft SDL v5相当不错,您必须阅读完整的论文来解释可以从 MSKB 下载的整个过程:http: //www.microsoft.com/download/en/details.aspx? displaylang=en&id=12285

如果您需要大致了解该过程,您可以阅读简短而扎实的介绍@ TechSurface:http ://techsurface.com/2010/01/microsoft-security-development-lifecycle-sdl.html

如果您有兴趣,还有几个更深奥的:

  1. 确保压力下的弹性的成熟度框架
  2. 构造的正确性

对于Android安全开发,请尝试以下方法:

  1. https://isecpartners.com/files/iSEC_Securing_Android_Apps.pdf - 专注于开发。
  2. http://developer.android.com/guide/topics/security/security.html - 出于系统安全考虑。

由于您提到 SDL,我假设您已经知道它,但在这里提到它:Microsoft 提供了 SDL 威胁建模工具 ( http://www.microsoft.com/security/sdl/adopt/threatmodeling.aspx )

OWASP 提供有关威胁风险建模的入门指南(并建议使用 Microsoft SDL)

当然,NIST有文档关于这一主题,例如整个负载:http://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/chapter7.html 和: HTTP://中国证监会.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

其它你可能感兴趣的问题
上一篇如何在公共 wifi 中发送用户身份验证?半径/802.1x/EAP 等 下一篇将可疑文件下载到隔离区?